Κύπρος: Πρόστιμο 45.000 ευρώ στο Ανοικτό Πανεπιστήμιο για την παραβίαση δεδομένων από κυβερνοεπίθεση
Τα δεδομένα δημοσιεύτηκαν στο dark web μετά τη μη καταβολή λύτρων
ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ
ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ
Την απόφασή της επί της υπόθεσης κυβερνοεπίθεσης στα πληροφοριακά συστήματα του Ανοικτού Πανεπιστημίου δημοσιοποίησε η Επίτροπος Προστασίας Προσωπικών Δεδομένων της Κύπρου.
Η ανακοίνωση της Επιτρόπου έχει ως εξής:
Σε σχέση με την κυβερνοεπίθεση στο Ανοικτό Πανεπιστήμιο, στις 22/11/2023 εξέδωσα την Τελική Απόφαση με την οποία επέβαλα στο Ανοικτό Πανεπιστήμιο Διοικητικό Πρόστιμο ύψους σαράντα-πέντε χιλιάδων (€45.000) ευρώ.
Όσον αφορά στην Κυβερνοεπίθεση στο Κτηματολόγιο, έχω λάβει τις τελικές θέσεις του Κτηματολογίου επί της εκ πρώτης όψεως Απόφασης, ενώ το περιστατικό στο Πανεπιστήμιο Κύπρου είναι ακόμη υπό διερεύνηση σε συνεργασία με άλλες Αρχές / υπηρεσίες.
Απόφαση: Παραβίαση Προσωπικών Δεδομένων στο δίκτυο του Ανοικτού Πανεπιστημίου Κύπρου
Στις Μαρτίου 2023 υπεβλήθη Γνωστοποίηση Παραβίασης Δεδομένων Προσωπικού Χαρακτήρα στο Γραφείο μου εκ μέρους του Ανοικτού Πανεπιστημίου Κύπρου (στο εξής το «Πανεπιστήμιο»). Oμάδα «χάκερς» (στο εξής «εισβολέας») δήλωσε μέσω της πλατφόρμας κοινωνικής δικτύωσης Twitter ότι ήταν αυτή υπεύθυνη για την επίθεση και δόθηκε χρονικό περιθώριο στο Πανεπιστήμιο για την καταβολή λύτρων για την επιστροφή / μη δημοσιοποίηση των αρχείων που είχαν διαρρεύσει από την επίθεση. Όταν το χρονικό περιθώριο για την καταβολή των λύτρων είχε παρέλθει, τα δεδομένα που είχαν κλαπεί, δημοσιευθήκαν από τον εισβολέα και έγιναν διαθέσιμα στο dark web.
Μετά από πλήρη διερεύνηση του περιστατικού, διαπιστώθηκε ότι τα δεδομένα τα οποία διέρρευσαν αφορούν σε φοιτητές, απόφοιτούς και αλλά υποκείμενα (συμβαλλόμενοι Πανεπιστημίου) τα οποία βρίσκονταν προσωρινά αποθηκευμένα σε επηρεαζόμενο εξυπηρετητή και χρησιμοποιούνταν για διεκπεραίωση εργασιών από τους εργαζόμενους.
Για το περιστατικό έχουν υποβληθεί στο Γραφείο μου 11 παράπονα από υποκείμενα των δεδομένων που καταγγέλλουν ότι τα προσωπικά τους δεδομένα έχουν διαρρεύσει λόγω του υπό εξέταση περιστατικού, τα οποία λήφθηκαν υπόψη κατά την εξέταση του περιστατικού.
Το Πανεπιστήμιο μου απέστειλε επίσης κατάλογο ενεργειών στις οποίες θα προβεί για ενίσχυση της ασφάλειας των συστημάτων του. Οι ενέργειες αυτές θα υλοποιηθούν σταδιακά με βάση πρόγραμμα που έχει καταρτιστεί, ξεκινώντας από τώρα, με χρονικό σημείο ολοκλήρωσης το 2026, ανάλογα με την κρισιμότητα, το κόστος και τα προαπαιτούμενα για την υλοποίηση τους.
Μετά από νομική και τεχνική εξέταση όλων των πιο πάνω, διαπιστώθηκε παράβαση του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΕΕ) 2016/679 από την μη εφαρμογή των κατάλληλων μέτρων ασφαλείας και παραβίαση της αρχής της «λογοδοσίας».
Αφού λήφθηκαν υπόψιν, όλα τα γεγονότα της υπόθεσης, τα τεχνικά και οργανωτικά μέτρα που λαμβάνονταν από το Πανεπιστήμιο πριν από την επίθεση και οι μετριαστικοί παράγοντες που αναφέρθηκαν από το Πανεπιστήμιο, καθώς επίσης και ότι το Πανεπιστήμιο αποτελεί μέρος του ευρύτερου δημόσιου τομέα, επιβλήθηκε στο Πανεπιστήμιο Διοικητικό Πρόστιμο ύψους σαράντα-πέντε χιλιάδων (€45.000) ευρώ.
Δόθηκε επίσης Εντολή στο Πανεπιστήμιο, εντός έξι μηνών:
α) να ορίσει υπεύθυνο ασφαλείας συστημάτων έστω και προσωρινό / αναπληρωτή, ο οποίος να επιβλέπει την εφαρμογή των μέτρων που το Πανεπιστήμιο προτίθεται να λάβει,
β) να με ενημερώσει σχετικά με την πρόοδο της υλοποίησης των μέτρων των οποίων το ίδιο με ενημέρωσε ότι προτίθεται να λάβει.
